takuya@osaka(令和最新版)
@takuya_1st
金融系は、ログインセッションを600秒程度で切断する。 だから頻繁にログインが発生し、ログインフォームに入力することを当たり前だと思わされてる。だからフィッシング詐欺に罹る。 セッション時間を100日とかにすれば良い。セッション時間を短くするとことがセキュリティ言ってるコンサルが悪。
2025-05-31 14:43:54
takuya@osaka(令和最新版)
@takuya_1st
プライバシー情報が見られるリスクと フィッシングで勝手に取引されるリスク この二つをリスクベースで管理できないことが根本的な問題だと思うよ
2025-05-31 14:46:33
takuya@osaka(令和最新版)
@takuya_1st
文字通り「2段階」認証にして、セッション時間を「2段階」にして、トップページだけは閲覧可能にしておくとかでもだいぶ変わってくるよ。 戻るボタン禁止でセッション切れるから、フィッシング詐欺がしやすい
2025-05-31 17:56:29
takuya@osaka(令和最新版)
@takuya_1st
なぜなら、ユーザはログインフォームを見たら入力って学習してるし、多少変なことがあっても、ログインフォームはよく出てくるモノって過学習湿るんや
2025-05-31 17:58:15
takuya@osaka(令和最新版)
@takuya_1st
実際に、googleやmsはメアドは表示された状態でログイン要求されるよね? なぜ証券会社はそれをしないの?
2025-05-31 18:00:29
井上 圭,大塚 淳平,幸田 将司,国分 裕,下川 善久,洲崎 俊,関根 鉄平,坪井 祐一,山本 和也,山本 健太,吉田 聡,上野 宣
みんなの反応
なおぱん
@wlv_myzk
@takuya_1st これの原因は、ネカフェ等からアクセスしている層が一定数いるからで、そういったものを遮断すればいいのですよね。
2025-06-01 09:42:43
takuya@osaka(令和最新版)
@takuya_1st
@wlv_myzk いつの時代よ。スマホメインの時代に共有端末を主流に据えたセキュリティ議論してどうする
2025-06-01 09:46:12
てんまにちやそ(美味しくなって新登場)
@tchan65534
@takuya_1st これ本当にそうなんで、社内のセキュリティテストに引っかかるけどこの反論して毎回無視してる
2025-06-01 06:13:39
takuya@osaka(令和最新版)
@takuya_1st
@tchan65534 テンプレというか、チェックリスト作るのは否定しないけど、セキュリティの基本は定期的な見直しなんですよね。セキュリティ教科書の第一章にも書いてあるよね。
2025-06-01 09:48:02
ヤマカガシ
@smboysmgirl
@takuya_1st セッション貼りっぱなしはサーバとユーザ間にあるセキュリティ機器の仕様でセッションの上限があるからと思ったけど違ったっけ。 ネットワークの構成によるやろけど。解放してあげないとアクセスできなくなると思うんやけど違ったらごめんなさい。 pic.x.com/FwaFIqYcz6
2025-06-01 06:40:19
takuya@osaka(令和最新版)
@takuya_1st
@smboysmgirl ネット装置のTCPセッションとhttpsログインcookie(通称セッション)は別物で、、、
2025-06-01 09:51:20
なおぱん
@wlv_myzk
@takuya_1st あー、ですから過去にそういう事情があり、金融ならではの既存顧客や既存仕様の変更はまかりならん志向により、そのような状態がまかり通っていると思われるんですよ。 あくまで過去から現状を変更したくない傾向が強い、ということと思料されるので、将来、変わってくれると思いますけどね。
2025-06-01 09:48:58
ヤギ@アザースジャパン合同会社
@athers_japan
@takuya_1st FireWall等のネットワーク機器に管理できる同時セッション数の上限があるから、厳しんじゃないかな。
2025-06-01 10:43:44
Keita Software Engineer in Fukuoka 
Yokohama
@w_keita_1023
セッショントークンを搾取されるよりセッション確立を狙われて攻撃されるケースが後を絶たないですからね。セッショントークンを搾取される場合も、搾取される状態になっている時点で、リフレッシュしても即時搾取されますし。。。 x.com/takuya_1st/sta…
2025-06-01 11:58:07
くにちこ@KeplerX開発中(Kunihiko Ohnaka)
@kunichiko
そうなんだよねぇ〜 最近変わった社内システムが頻繁にログインセッション切れて、しかもアプリでPWマネージャーが効かないタイプのやつで毎日のようにPWをコピペする必要があり、これは逆に危ないですよと進言してしまった。 クレカや銀行のパスワード90日ごとに変えるやつとかも。頻繁に変えるせいでPWマネージャー使っててもトラブルに遭いやすく、パスワードリセットが日常的になったりするのもよくない。
2025-06-01 07:11:26
Gabriel Clarisse
@GabrielClaris
100日は大袈裟だけど、ある程度は伸ばして良いのでは? 個人的には、別角度からの認証の段階を今よりさらに増やせる機能とか仕組みの何かがあれば可能じゃないかな、と思ってる。 ただ、攻撃する側もそこを「攻略する」方法を必死で探して突いてくるから、イタチごっこだけど。 x.com/takuya_1st/sta…
2025-06-01 10:52:54
Hoystar_jpn
@Hoystar_jpn
現実的な話、セッションハイジャックとフィッシングってどっちの方がリスク高いんだろ? 前者はアプリ側で対策できそうだけどブラウザだと完璧ではないし、後者はDMARCとテイクダウン自動化でリスクは減らせるけどやっぱりタイムラグがあるし。 まあ、どっちもやるのがいいんだけど。 x.com/takuya_1st/sta…
2025-05-31 21:12:53
いぐぞー 
旅するプログラマー
@igz0
面白い問題提起だと思う。 ・NISTだと高リスク環境(AAL3)での再認証時間は15分が推奨 ・OWASPでもオンラインバンキングのタイムアウトは15分が推奨 理由はセッションの寿命が短いほど、攻撃者が有効なセッションを悪用できる時間が短くなるから。 ログインの手間はPasskey等で緩和可能かも。 x.com/takuya_1st/sta…
2025-06-01 15:47:40
金融機関のログイン有効期間が短いのは、うっかりPCをロックせずトイレ離席とかする場合に備えてだと思います。 離席中に個人の口座の中身を自由に見られて金融情報盗まれるのは結構大きなリスクです。
heliodor_ruby 金融機関からすれば、顧客のうっかり(ログアウトしたりPCロックせず離席)でトラブル起きたあげく、金融機関に問い合わせや対処求められても困りますよねぇ。 という感想